DB34∕T 4091.2-2022 网络安全等级保护测评机构 第2部分 测评质量检查规范

标准分享吧34AssessmentorganizationofclassifiedprotectionofcybeEvaluationqualityinspectionspecifi标准www.bzfxb.标准分享吧标准www.bzfxb.标准分享吧本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定标准www.bzfxb.制度规定从事等级测评工作，其测评质量直网络安全风险意识是否得到增强。DB34/T4091旨在规定网络安全等级保护测评机构的测评质量要求和对测评机构的检查规范，以达到提升网络安全等级保护测评机构——第1部分：测评质量要求。目的在于规定网络安全等级保护测评机构测评质量要求，为测评质——第2部分：测评质量检查规范。目的在于规定对网络安全等级保护测评机构测评质量检查的组标准www.bzfxb.网络安全等级保护测评机构第2部分：测评质量检查规范DB34/T4091.1—2022网络安全等级保护测评机构第1部分：测评质GB/T22239—2019、GB/T28448—2019、GB/T28449—2018界定的以及下列术语和定义适用于本检查人员与测评人员到测评委托单位，对测评记录4基本要求4.1测评质量检查应遵循客观公正、合规自律、科学合理、风险可控的原则。4.2实施测评质量检查的检查评价机构应满足下列要求：a)在中华人民共和国境内注册成立，由中国公民、法人投资或国家投资的组织；c)不涉及网络安全等级保护测评及其标准www.bzfxb.4.3实施测评质量检查的检查人员应满足以下要求：a)检查人员可由检查评价机构的检查人员、网络安全和等级保护相关领域专家、测评委托单位c)熟悉网络安全等级保护测评的测评内容、测评流程和测评方法；5.2检查准备活动5.2.2检查评价机构接受检查任务，根据检查任务要求开展检查准备活动。5.2.3检查评价机构根据检查任务5.2.4检查组应根据检查任务需要和下列要求确定检查内容和测评机构测评质量评价方法：b)应根据检查任务需要选择附录A所标准www.bzfxb.标准分享吧5.2.5检查组应制定检查方案，必要时，可进行技术评审。检查方案应作为开展质量检查通知的附件e)被检查的测评机构（以下简称“被检查机构”）列表：明确被检查机构名称及检查顺序；g)检查方法：针对检查内容可采用的检查方法（如：访谈、文档审查、复核验证等）；h)检查流程和各方职责；j)附件：检查过程中用到的材料、表格（如：检查人员廉洁自律声明、被检查机构廉洁自律声a)应从每个被检查的测评机构已完成的测评项目中选择不少于3个项目用于检查，并从确e)应优先选择需要执行相关行业标准的特殊行业（如：电力、金融等行业）的测评项目用于检f)应优先选择影响国计民生的信息系统（如：关键信息基础设施、公共服务信息系统）对应的5.3检查实施活动5.3.1检查组应根据检查方案确定的检查顺序到各被检查机构开展检查，检查组在各被检查机构的检标准www.bzfxb.a)应根据确定的被检查项目收集测评记录、测评报告，及与之相关的质量记录和材料（如：测b)应访谈被检查项目涉及的测评师，检查项目实施和质量控制过程记录，检查测评过程和记录c)应访谈测评委托单位相关人员，检查项目实施过程、被测定级对象概况、安全管理机构、安d)应对被检查项目测评记录、测评报告，以及与之相关质量记录及材料开展文档审查，检查记2)测评记录和测评报告涉及的网络拓扑、安全防护设备、测评对象选择、安全物理环境和3)测评记录和测评报告涉及的安全控5.3.4检查组应根据检查方案确定的评价方法对被检查机构的测评质量进行评价，确定评价结果，并5.4总结分析活动5.4.1所有被检查机构的检查结束后，检查组应开展总结分析活动，总结分析活动包括汇总分析和形5.4.2检查组应将检查发现的所有测评质量问题按类别进行汇总，并分析各类测评质量问题发生的原标准www.bzfxb.汇总分析形成检查报告标准www.bzfxb.A.1定性评价A.1.1评价流程测评机构测评质量定性评价的流程如图A.1所示，应对检查发现的每个问题进行影响程度分析、发A.1.2影响程度分析A.1.2.1对于检查发现的测评质量问题，应按其对测评结果的影响程度进行划分，可为高、中和低三高中低标准www.bzfxb.标准www.bzfxb.注：主要表现为：未得到测评委托单位必要的确认或授权、缺少必c)测评深度不够、测评覆盖不全面，测评记录不足以完全支持测评结果，测评不充分；d)确定的测评对象未能全面覆盖所有设备、系统类型；A.1.2.4对测评结果造成较小或轻微影响的测评质量问题包括但不限于：b)测评过程记录及记录修改不规范；A.1.3发生可能性分析高测评质量问题出现的频率高（所有抽检项目中均发现此类问题）；或没有质量管理措施能够保证该问题不会中测评质量问题出现的频率中等（抽检项目中一半及以上有发现此类问题或有质量管理措施低测评质量问题出现的频率较低（抽检项目中一半以下有发现此类问题或有质量管理措施能避免此类问题A.1.4测评质量问题定性评价定性评价结果的取值范围为严重、一般和轻微，具标准www.bzfxb.高高高中高低中高中中中低低高低中低低A.1.5测评机构测评质量定性评价定性评价结果的取值范围为优秀、良好、合格、不合格，具体评价所有测评质量问题的定性评价结果均为“轻微”评质量问题总数与检查内容总数的比值小于评质量问题总数与检查内容总数的比值大于30%且A.2定量评价赋予量化值（Vi见表A.5，测评质量检查量化评价结果QER（Quantitativeevaluationresult）标准www.bzfxb.权重值Wi量化值Vi3检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N89检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N336检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N5检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N5检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N风险规避实施方案4检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N6检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N627检查内容共计N条，检查结果为“不符合”的条款个数X，Vi=1-X/N3检查内容共计N条，